권장 : 빨간색을 사용하여 ASP의 데이터를 쿼리 할 때 얻은 녹음 키워드를 표시합니다. % response.write replace (rs (필드 x), 검색 이름, 글꼴 색상 =#ff0000 SearchName/Font) % 설명 : RS는 레코드 세트 객체이고 SearchName은 htmer에서 재 인쇄 된 검색 키워드입니다 [http://www.htmer.com/]
SQL 주입 일반 HTTP 요청은 모든 게시물의 매개 변수 정보에서 불법 문자를 필터링하거나 파일의 요청을 가져 오는 한 SQL 주입 공격을 방지 할 수 있습니다.IIS에 의해 ASP.dll에 전달 된 GET 요청은 문자열 형태입니다. request.querystring 데이터로 전달한 후 ASP 파서는 request.querystring의 정보를 분석 한 다음 각 배열에서 &에 따라 데이터를 나누게됩니다. 다음은 Get Intercept 및 Post Intercept의 코드를 나열합니다. '======= Get Get =======
Dim SQL_INJDATA
sql_injdata = '| and | exec | insert | 선택 | 삭제 | count |*%| chr | mid | master | truncate | char | degelare
sql_inj = split (sql_injdata, |)
request.querystring <>라면
request.querystring의 각 sql_get에 대해
sql_data = 0 to ubound (sql_inj)
If inst (request.querystring (sql_get), sql_inj (sql_data))> 0
response.write <script language = 'javaScript'> alert ( 'htmer.com 시스템 프롬프트 ↓ nplease는 매개 변수에 불법 문자를 포함하지 않고! nnhttp : //www.htmer.com'); history.back (-1) </script>
응답. 엔드
끝 If
다음
다음
If '====== Post Interception ====== 경우 종료하십시오
request.form <>라면
request.form의 각 sql_post에 대해
sql_data = 0 to ubound (sql_inj)
If inst (request.form (sql_post), sql_inj (sql_data))> 0
response.write <script language = 'javaScript'> alert ( 'htmer.com 시스템 프롬프트 ↓ nplease는 매개 변수에 불법 문자를 포함하지 않고! nnhttp : //www.htmer.com'); history.back (-1) </script>
응답. 엔드
끝 If
다음
다음
끝 If
좋아, 우리는 Get and Post 요청에 대한 정보 차단을 구현했습니다. Conn.asp와 같은 데이터베이스 파일을 열기 전에이 페이지를 참조하면됩니다.
공유 : ASP 프로그램에서 문자를 사용하지 않은 문자를 필터링하는 기능 % functioncutbadchar (str) badstr = no | text | ming | ming | column | 열 | 열 | 형식 '형식'여기서 비정상적인 단어를 채우십시오.